CWE-910: Use of Expired File Descriptor(使用过期的文件)

最新推荐文章于 2024-03-30 19:42:31 发布
翻译 最新推荐文章于 2024-03-30 19:42:31 发布 · 253 阅读 · 0
文章标签:

#访问已经关闭的文件 #从已经关闭的文件中读取 #漏洞扫描 #安全漏洞 #静态分析

探讨软件在关闭后继续使用或访问文件的问题,特别是在文件描述符被重新分配给其他文件或设备后,可能导致数据读取错误或系统崩溃。

 ID: 910

类型:基础
结构:简单

状态:未完成

描述

软件在关闭后使用或访问文件

扩展描述

释放特定文件或设备的文件描述符后,可以重新使用它。代码可能不会写入原始文件,因为重新使用的文件描述符可能引用其他文件或设备。

相关视图

  "研究概念" (CWE-1000)

Nature

Type

ID

Name

ChildOf

672

Operation on a Resource after Expiration or Release

 "开发概念" (CWE-699)

Nature

Type

ID

Name

MemberOf

452

Initialization and Cleanup Errors

引入模式

 

阶段

说梦

实现

 

应用平台

语言

C (Sometimes Prevalent)

C++ (Sometimes Prevalent)

Class: Language-Independent (出现的可能性不确定)

后果

范围

冲击

可能性

保密性

技术冲击: 读文件或目录

程序可能从错误的文件中读取数据

 

可利用性

技术冲击: DoS: 崩溃、退出或重启

访问一个已经关闭的文件可能会导致崩溃

 

被利用的可能性:

一般

种属

关系

类型

ID

名称

属于

1163

SEI CERT C Coding Standard - Guidelines 09. Input Output (FIO)

CWE-73: External Control of File Name or Path
Pollias的博客
11-28 1217
解决Veracode的CWE-73:“外部控制文件名或路径”
【悟空云课堂】第十六期:使用不安全的随机值漏洞(CWE-330: Use of Insufficiently Random Values)
Tianqi_Wukong的博客
01-20 1379
【悟空云课堂】第十四期:使用不安全的随机值漏洞 什么是使用不安全的随机值? 软件依赖于不可预测的数值使用了不充分的随机数导致的安全性降低。 **产生原因:**计算机是一种按照既定算法运行的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 PRNG包括两种类型:统计学的PRNG和密码学的PRNG。统计学的PRNG可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制。若安全性取决于生成数值的不可预测性,则此类型不适用。密码学的PRNG通过
c++创建临时文件_悟空云课堂 | 第十九期:用不安全的授权创建临时文件漏洞
weixin_30440363的博客
12-06 215
点击蓝字关注中科天齐该栏目为中科天齐软件安全中心全新规划的悟空云课堂,每周五准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为用不安全的授权创建临时文件漏洞的相关介绍。01 什么是用不安全的授权创建临时文件?在没有适当措施或控制的情况下打开临时文件可能会使文件、其内容和任何受它影响的函数容易受到攻击。02 用不安全的授权创建临时文件漏洞构成条件有哪...
进程打开文件进行写入时,使用vim打开文件进行写入导致fd文件描述符失效
脚踏实地,不断突破自我,每天有收获就OK
12-25 1074
今天解决了一个困扰一上午的问题,进程打开文件进行写入时,使用vim打开文件进行写入导致fd文件描述符失效https://www.douban.com/note/592324007/一、bug描述dpi v5程序在运行一段时间过后,程序的server日志不生成了.使用sed -i 修改了一个日志文件后,tail -f 发现该文件不再有输出了,最后,无奈,reload了下进程才能重写。二、做实验复现下面
Gurobi求解器学术版过期怎么办
最新发布
weixin_43209409的博客
03-30 1848
打开gurobi文件根目录,我的是在C盘里一打开就能看到,没错确实很奇怪它既不在用户文件夹里也不在program文件夹里。打开它(根文件),找到那个许可证对应的文件gurobi.lic,把它删了,再把保存在犄角旮旯里的gurobi.lic复制过去,这才是真的更新过后的文件。:打开cmd重新配置之后,许可证文件保存位置我选择的是默认位置,在C盘的一个犄角旮旯,并不在gurobi的根目录下。接着打开cmd直接复制新的序列号,回车,其中涉及选择许可证保存位置的对应问题,我就是在这一步出错的。
「 网络安全常用术语解读 」通用缺陷枚举CWE详解
热门推荐
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
02-26 1万+
Common Weakness Enumeration,简称CWE,它是由MITRE公司维护的一个开放的、可扩展的通用语言,用于描述软件及硬件缺陷。CWE可以让安全研究人员、开发人员和安全管理人员能够更好地理解和解决安全问题。CWE本质就是一个软件和硬件缺陷类型列表,当前最新版本为4.10。本文中所提到的缺陷指软件、固件、硬件或服务组件中的一种状态,在某些情况下,可能导致漏洞的引入。
Gurobi说明书
01-16
Gurobi说明书里面详细的介绍了下载安装过程,如何获取许可码,并且给了好几种语言的编程例子
【悟空云课堂】第七期:不安全的反射漏洞(CWE-470: Use of Externally-Controlled Input to Select Classes or Code)
Tianqi_Wukong的博客
01-20 822
【悟空云课堂】第七期:不安全的反射漏洞 什么是不安全的反射漏洞? 反射这一概念最早由编程开发人员Smith在1982年提出,主要指应用程序访问、检测、修改自身状态与行为的能力。这一概念的提出立刻吸引了编程界的极大关注,各种研究工作随之展开,随之而来引发编程革命,出现了多种支持反射机制的面向对象编程语言。 *在Java编程语言中,Java反射机制主要提供了以下功能: *在运行时判断任意一个对象所属的类; *在运行时构造任意一个类的对象; *在运行时判断任意一个类所具有的成员变量和方法; *在运行时调用任意一个
【悟空云课堂】第十四期:使用已破解或危险的加密算法导致的漏洞(CWE-327: Use of a Broken or Risky Cryptographic Algorithm)
Tianqi_Wukong的博客
01-20 1511
【悟空云课堂】第十四期:使用已破解或危险的加密算法导致的漏洞 什么是使用已破解或危险的加密算法导致的漏洞? 使用已破解或者有风险的加密算法会产生软件风险,可能导致敏感信息暴露。使用非标准算法相对危险较高,因为恶意攻击者可能会利用该算法的漏洞进而危害任何受保护的数据。 使用已破解或危险的加密算法导致的漏洞构成条件有哪些? 满足以下条件,就构成了一个该类型的安全漏洞: 1、使用已破解或危险的加密算法进行加密。 使用已破解或危险的加密算法导致的漏洞会造成哪些后果? 关键词:读取应用程序数据;修改应用程序数据;隐藏
【悟空云课堂】第二十六期:通过错误消息导致的信息暴露(CWE-209:Generation of Error Message Containing Sensitive Information)
Tianqi_Wukong的博客
01-20 863
【悟空云课堂】第二十六期:通过错误消息导致的信息暴露(CWE-209:Generation of Error Message Containing Sensitive Information) 什么是通过错误消息导致的信息暴露缺陷? 软件会生成一条错误消息,其中包含有关其环境,用户或关联数据的敏感信息。 通过错误消息导致的信息暴露缺陷构成条件有哪些? 敏感信息本身可能是有价值的信息(例如密码),或者对于发起其他更严重的攻击可能很有用。该错误消息可能以不同的方式创建: 1、自生成的:源代码显式构造错误消息并将
gurobi 的过期总结
weixin_40493805的博客
09-24 7963
1、已经安装上了,当然,也忘记了要注意的事项,现在想关注的是,什么时候过期。 2、查找一下目录,居然发现装到了c盘,看图: 3、在这个文件夹里面没有找到这个是否过期文件,看其他人的博客说明 https://blog.youkuaiyun.com/woshihanxibei/article/details/43850631 里面有个“gurobi.lic”文件,没有找到。 最后搜索了一下,居然放到了 c盘 ...
License到期续期,xp系统安装问题
Esc_110的博客
12-26 1163
1. RealEvo License介绍 在初次安装RealEvo时,会要求输入由翼辉提供的序列号,生成注册码等,具体步骤见安装包种doc文件夹下《RealEvo软件注册步骤》,在次不一一赘述。 正常情况下,工程师可以通过翼辉信息的官网:www.acoinfo.com或者向翼辉的市场人员申请为期三个月的license,在license到期后如何再次续期?下面将详细介绍。 2. License
gurobi 和 python 的配置
weixin_40493805的博客
11-05 2003
1、由于gurobi的一年到期了,因此重新转了一下gurobi,重新申请了license,也通过了。现在就是用python的时候,怎么重新配置的问题。 2、gurobi的版本升级到了最新的8.1.1,但是python没有升级,还是3.6的版本。怎么在python里面用到这gurobi包呢?一句话,导入就ok了。“from gurobipy import *” 这句话。用的是pycharm这个编辑器...
Gurobi许可证获取
eaglecoder的博客
12-17 6395
Gurobi是新一代数学规划优化系统。独立第三方优化器评估报告显示,Gurobi 以卓越的性能跻身大规模优化器新领袖地位,成为性价比最为优秀的企业大规模优化器首选。 对于学术机构来说,可以申请学术版来使用。具体方法包括以下两种方法,第一种方法需要使用在Gurobi认定的校园网名单种的网络进行验证,否则推荐第二种方法。 官方推荐方法 具体操作流程见https://www.gurobi.com/r...
File && FileDescriptor
asivy的专栏
01-23 1837
转自:http://www.fengfly.com/plus/view-214059-1.html File  File是“文件”和“目录路径名”的抽象表示形式。 File 直接继承于Object,实现了Serializable接口和Comparable接口。实现Serializable接口,意味着File对象支持序列化操作。而实现Comparable接口,意味着File对象之间可以比较大小
(网络安全数据集三)常见弱点枚举 CWE数据集和通用平台枚举 CPE解析
Bulldozer_GD的博客
09-12 3263
CWE解析 下面是CWE-209 信息的解析 包含 威胁名称 、相关弱点、常见后果、检测方法、缓解措施、例子和 条目更改的信息等。 <Weaknesses> <Weakness ID="209" Name="Information Exposure Through an Error Message" Abstraction="Base" Structure="Si...
文件描述符被耗尽问题排查
Kevin的专栏
06-28 4895
下面是自己遇到问题时的解决过程: 编写的服务器程序出现提示解析文件失败,使用xml解析库为tinyxml,通过定位发现时loadfile函数问题,开始怀疑是文件被占用,因为此问题是过一段时间产生的,所以分析可能是文件描述符问题。 1.查看进程的文件描述符 ps -ef|grep abc得到abc进程ID,然后进入/proc/进程id/fd 查看文件描述符,发现暂用超过系统上线。 ulimi
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
06-09
1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值